ĐỊNH NGHĨA IDS/IPS(HỆ THỐNG PHÁT HIỆN XÂM NHẬP, HỆ THỐNG NGĂN CHẶN XÂM NHẬP

Hệ thống phát hiện xâm nhập (IDS) và Hệ thống ngăn chặn xâm nhập (IPS)

• IDS (Intrusion Detection Systems – Hệ thống phát hiện xâm nhập): 1 khái niệm cũ dùng để chỉ những thiết bị có khả năng phát hiện ra các cuộc tấn công, tuy nhiên để ngăn chặn thì phải kết hợp với những thiết bị khác như firewall, NAC…
• IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập): khái niệm mới, trường hợp mở rộng của hệ thống IDS, cách thức hoạt động cũng như đặc điểm của 2 hệ thống này tương tự nhau, vừa có khả năng phát hiện vừa tự động ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn. Hệ thống IPS sử dụng tập luật tương tự như hệ thống IDS.
• Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên.

Phân loại hệ thống ngăn ngừa:

Hệ thống ngăn ngừa xâm nhập mạng (NIPS – Network-based Intrusion Prevention) thường được triển khai trước hoặc sau firewall.

• Khi triển khai IPS trước firewall là có thể bảo vệ được toàn bộ hệ thống bên trong kể cả firewall, vùng DMZ, đặc biệt là các tấn công thuộc dạng DoS, DDoS. Nhược điểm là làm phát sinh nhiều log khiến việc quản trị gặp khó khăn.
• Khi triển khai IPS sau firewall (dạng này thường thấy hơn, vì vị trí này làm giảm phát sinh log) có thể phòng tránh được một số kiểu tấn công thông qua khai thác điểm yếu trên các thiết bị di động sử dụng VPN để kết nối vào bên trong như tấn công DoS, DDoS.

Hệ thống ngăn ngừa xâm nhập host (HIPS – Host-based Intrusion Prevention) thường được triển khai với mục đích phát hiện và ngăn chặn kịp thời các hoạt động thâm nhập trên các host. Để có thể ngăn chặn ngay các tấn công, HIPS sử dụng công nghệ tương tự như các giải pháp antivirus. Ngoài khả năng phát hiện ngăn ngừa các hoạt động thâm nhập, HIPS còn có khả năng phát hiện sự thay đổi các tập tin cấu hình.

Một số sản phẩm hỗ trợ như những tính năng trên:

• Fortigate-800
• Broadweb NetKeeper NK-3256T v3.6
• Cisco IPS-4240
• Cisco IPS-4255
• ISS Proventia NIPS GX4004
• ISS Proventia NIPS GX5108
• Juniper IDP 600F
• McAfee IntruShield 3000 / IntruShield 4010
• SecureWorks iSensor 850
• Check point FW-1
• IIS Real Secure IDS
• ..,

1, Snort – Mã nguồn mở [phát triển bởi Sourcefire].

Khái niệm:

• Snort là một hệ thống phòng chống và phát hiện xâm nhập dựa trên mạng (IPS/IDS) nguồn mở được phát triển bởi Sourcefire. Snort hoạt động như một phần mềm đứng giữa sự giao tiếp của hai máy tính. Không chỉ chạy trên các hệ điều hành nguồn mở như GNU/Linux mà Snort còn có thể chạy được trên các nền tảng thương mại như Microsoft Windows, OpenBSD, Solaris, HP-UX…
• Tương tự như các bộ quét virus (virus scanner), Snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu như nó biết được dấu hiệu (signature) của các cuộc tấn công đó. Dựa vào điểm này, các hacker “cao thủ” có thể điều chỉnh các cuộc tấn công để thay đổi signature của cuộc tấn công đó. Từ đó các cuộc tấn công này có thể “qua mặt” được sự giám sát của Snort. Như vậy có thể thấy rằng, để Snort hoạt động một cách hiệu quả thì một trong những yếu tố quan trọng cần phải chú ý là các luật viết cho Snort, kể cả việc tạo ra các luật mới.

Tính năng cơ bản:

• Snort có khả năng phát hiện, chống sự xâm nhập trái phép nhằm đảm bảo bảo mật hệ thống mạng. Vì Snort là một hệ thống phát hiện xâm nhập dựa trên mạng nên nếu có một đĩa cứng có dung lượng lưu trữ lớn và tốc độ quay nhanh thì hệ thống Snort sẽ hoạt động tốt hơn. Các packet trước khi được gửi đến máy tính đích sẽ được snort kiểm tra, thẩm định. Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…
• Chức năng chính của Snort đó là packet sniffing, packet logging và network-based
  intrusion detection. Khi snort hoạt động, nó sẽ đọc các tập luật, giám sát luồng dữ liệu chạy qua hệ thống và sẽ phản ứng nếu có bất kì luồng dữ liệu nào phù hợp với tập luật của nó. Cụ thể hơn, tập luật có thể được tạo ra để giám sát các nỗ lực quét cổng (scanning), tìm dấu vết (footprinting), hoặc nhiều phương pháp khác mà các hacker dùng để tìm cách chiếm quyền hệ thống. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.

Cấu hình Snort:

• var HOME_NET: định nghĩa mạng cần bảo vệ.
• var EXTERNAL_NET: định nghĩa mạng bên ngoài.
• var DNS_SERVERS: định nghĩa các server DNS cần bảo vệ.
• var SMTP_SERVERS: định nghĩa các server SMTP cần bảo vệ.
• portvar HTTP_PORTS: định nghĩa port của ứng dụng

Cấu trúc luật của Snort:

• Rule header: rule action, protocol, địa chỉ IP nguồn và địa chỉ IP đích, port nguồn và port đích.
• Rule option: thông điệp cảnh báo, phần thông tin để xác định packet nào sẽ bị giữ lại.
• meta-data: cung cấp thông tin về rule nhưng không gây ra bất cứ ảnh hưởng nào đến quá trình phát hiện packet.
• payload: tìm kiếm thông tin trong phần payload của packet.
• non-payload: tìm kiếm thông tin trong phần non-payload của packet.
• post-detection: xảy ra sau khi một rule được kích hoạt

2, McAfee IntruShield 3000 [hãng thiết bị McAfee].

• Giảm thiểu rủi ro cho hệ thống theo phương pháp chủ động – Thiết bị phát hiện và ngăn chặn xâm nhập trái phép McAfee IntruShield đảm bảo tính sẵn sàng và bảo mật của của các thành phần quan trọng của cơ sở hạ tầng mạng thông qua các biện pháp chủ động phát hiện và ngăn chặn xâm nhập trái phép cho phép phát hiện và ngăn chặn các hình thức tấn công trước khi chúng tác động đến hệ thống.
• Phản ứng của McAfee là IntruShield 3000, tăng cường mật độ cổng cao và công nghệ IPS ảo để mở rộng khả năng phát hiện mạng cho từng thiết bị. IntruShield có thể hỗ trợ tối đa 1.000 IPS trên mỗi thiết bị. Hơn thế nữa, IntruShield có 12 cổng giám sát gigabit để giám sát sáu liên kết song công toàn bộ. IntruShield tích hợp với dữ liệu máy quét VM từ máy quét Foundstone của McAfee, cũng như Nessus, giúp IPS đánh giá các cuộc tấn công dựa trên các lỗ hổng thực tế.
• Bảo vệ hệ thống trước các nguy cơ tấn công ngày càng đa dạng – thiết bị IntruShield 3000 đi kèm với một công cụ quy tắc và một bộ các bộ lọc mạnh mẽ được thiết kế để chặn tràn bộ đệm, spyware, các cuộc tấn công shellcode, bot và dị thường giao thức. Các tính năng tiên tiến của nó bao gồm bảo vệ VoIP, khả năng tích hợp trình quét lỗ hổng và khả năng giải mã và kiểm tra giao dịch SSL.
• Tính chính xác cao, mức độ cảnh báo giả thấp – Với sự kết hợp cả 3 công nghệ nhận dạng tiên tiến là: Signature detection, anomaly detection và DDoS detection, IntruShield cải thiện đáng kể tính chính xác của thiết bị IDS và giảm thiểu các cảnh báo giả của hệ thống.

So sánh Firewall và IDS/IPS:

• IPS (Hệ thống Ngăn chặn Sự xâm nhập): xâm nhập vào hệ thống. IPS nằm trên đường đi của dữ liệu, chủ động, nên có thể ngăn chặn trước khi bị tấn công. Do đường đi nên để chặn nhiều dữ liệu dòng qua, nó có thể cần nhiều giao diện.
• IDS (Hệ thống Phát hiện Sự xâm nhập): hệ thống phát hiện xâm nhập. IDS đặt một vị trí để giám sát mạng (bị động), vì không trực tiếp trên đường đi của dữ liệu, nó chỉ có thể ngăn chặn sau khi phát hiện được tấn công, vì chỉ cần giám sát nên thường chỉ cần 1 giao diện. Nó ngăn chặn bằng cách gửi TCP thiết lập lại về nguồn mà không bị tấn công. Viet môi trường SW không thể bắt gói tin trực tiếp, nên yêu cầu SW phải hỗ trợ cổng giám sát, IDS mới theo dõi lưu lượng truy cập trong mạng.